인터파크가 고객 정보 유출로 홍역을 앓고 있다. 이번 사건도 예전에 일어 났던 사고와 똑 같은 과정으로 처리될까? 매년 대형 개인정보 유출 사고가 날 때마다 똑같은 현상이 반복된다. 문제의 원인도 비슷하고, 책임 몰아가는 방식도 다르지 않고, 끝이 흐지부지되는 결과도 똑같다.

결국 피해를 본 소비자만 손해다. 인증 기관, 관리 감독 기관, 기업 모두 명확한 보완책을 제시한다면 조금씩이나마 나아질 것이다. 하지만 늘 배후에 외계인이 있는 SF 범죄 수사물 형식으로 시작해 약자만 당하는 법정 드라마로 끝이 난다. 이번 사건 만은 판에 박힌 전개 끝에 반전이 일어날 수 있을까?

■1막: 미제 사건의 배후에는 늘 누군가 있다?

이번 사고의 배후를 밝혀가는 이야기는 꽤 흥미롭다. 범인을 못 찾은 미해결 해킹 사건을 처리하는 가장 확실한 방법은 ‘북한 소행’으로 몰아가는 것이다. 범인을 추정하는 것보다 더 웃긴 것은 피해에 대한 해석이다. 개인 정보가 북한에 넘어가 국가 안보에 심대한 위협이 될 것이라는 표현을 서슴없이 한다. 대규모 사이버 테러에 이용될 수 있다는 논리지만 왠지 억지스럽다.

■2막: 책임 떠넘기기

범죄 스릴러에서 출발한 이야기는 법정 드라마 형식으로 전환된다. 전환 파트의 이야기 주제는 ‘누구도 책임지고 싶어 하지 않는다’이다. 인터파크는 개인정보보호관리체계(PIMS) 인증을 받은 기업이다. 인증 기업에서 사고가 났으니 인증 기관도 발등에 불이 떨어졌을 것이다. 어떻게든 사고의 모든 책임을 기업에 돌리지 않으면 인증의 신뢰성에 금이 갈 수 있다.

모두가 예상했겠지만, 인터파크 관련해 PIMS 심사에서 문제가 드러났고, 이를 보완하지 않았다는 내용을 인터넷진흥원이 언론에 흘렸다. 신이 난 언론은 ‘단독’을 내세우며 경쟁하듯이 보도를 했다. 내용을 별것 없다. 직원 컴퓨터에서 암호화하지 않은 고객 정보가 담겨 있던 것, 고객 계좌 번호를 암호화 없이 데이터베이스에 저장한 것 등이다.

2015년 PIMS 인증 심사 때는 봐준 것인가? 인증 자격 유지를 위해 받은 올해 받은 보안 실태에서 새로 발견된 허점인가? 사실관계의 앞뒤 설명 없이 마녀사냥 하듯이 몰아붙이고 있다. 물론 인터파크는 심사 때 지적받은 내용은 모두 보완을 마쳤다며, 이번 사고와 무관하다고 선을 긋고 있다.

■3막: 법정에 선 피해자

‘책임’이란 주제는 결국 법정으로 간다. 인터파크 사건 3막은 소송 이야기로 전개되고 있다. 인터파크 사태의 핵심은 암호화를 제대로 하지 않은 민감한 정보가 외부에 유출되었다는 것이다. 해킹으로 1,030만 명의 개인 정보가 새 나갔고, 이에 분개한 이들이 집단 소송을 준비 중이다.

누군가 책임을 지라고 소비자가 직접 나서고 있다. 인터파크는 유출된 정보는 주민등록번호와 금융 관련 기록이 아니라 밝히고, 피해 보상을 계획 중이고 발표했지만, 소비자 분노는 가라앉을 기미가 없다. 집단 소송 카폐 회원 수만 늘고 있다.

하지만 예전에 대형 개인 정보 유출 사건을 놓고 볼 때 법원이 소비자의 손을 들어 준 적이 얼마나 되었는지를 떠올려 보면 헛수고가 가능성이 더 커 보인다. 여기까지가 인터파크 사건 드라마 일지다.

■에필로그: 데이터 보호는 소비자와 피해자 관점에서 점검해야 할 때

우리는 통신사, 금융사 등 평소 믿고 쓰는 기업의 데이터 유출을 경험한 바 있다. 그리고 매년 크고 작은 사건 사고가 일어나고 있다. 인터파크 사건도 그중 하나다. 매번 반복되는 똑같은 이야기 구조를 벗어나려면 새로운 에필로그가 필요하다.

새로운 에필로그의 주인공은 소비자가 되어야 한다. 데이터 유출에 대한 책임을 물을 때 중요하게 보는 것 중 하나가 기업이 주의 의무를 다 했는지에 대한 것이다. 보안 전담팀을 중심으로 잘 갖추어진 보안 전략과 정책이 운용되고 있고, 최신 보안 솔루션을 사용하고 있다면? 규제 수준의 높은 것 같지만, 생각보다 기업이 빠져나갈 방법이 많은 것이 개인정보보호법이 갖는 한계다.

법에 허점이 있다는 소리가 아니다. 소비자 보호와 피해자 구제에 대한 부분을 구체화할 필요가 있다는 말이다. 가령 해외에서 최근 관심을 모으고 있는 데이터 보안 관련 보험 서비스 가입을 의무화한다거나 하는 것을 고려해 볼 수 있을 것이다.

해외에서는 데이터 유출이 기업 명성뿐 아니라 존폐에까지 영향을 끼칠 수 있다는 인식이 퍼져있다. 그러다 보니 데이터 보안 관련 보험 서비스 제공 회사가 생기는 등 시장이 움직이고 있다. 이런 움직임을 그냥 해외 사례로만 볼 것이 아니라 인터파크 사건을 계기로 피해자 구제에 대한 깊이 있는 논의의 주제로 삼아보면 어떨까?